Migration d’un serveur de production de windows vers linux et mise en place d’outils de collaboration
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.74 MB, 55 trang )
Rapport de Stage
Migration d’un serveur de production de Windows vers Linux
et mise en place d’outils de collaboration
Jules DAGNAUD
17 juillet 2009
Encadrants NKB Archi : Nicolas Berry, Nguyen Dang Kiem
Encadrant UCBL : Thierry Excoffier
Remerciements
´ eral
´
Je tiens en premier lieu a` remercier Monsieur Nicolas Berry, directeur gen
de l’entreprise NKB
´ au sein de sa
Archi, pour m’avoir accueilli et fait confiance en me donnant de grandes responsabilites
´ e.
´
societ
´
Je voudrais remercier egalement
l’administrateur informatique de l’entreprise, Monsieur Nguyen Dang
Kiem, pour m’avoir accompagne´ dans ma mission.
Je remercie ensuite mes enseignants de l’IFI, Messieurs Victor Moraru et Nguyen Hong Quang, ainsi
´
que Monsieur Thierry Excoffier, mon tuteur pedagogique
de l’UCBL, pour leur disponibilite´ et le partage
de leurs connaissances.
´
`
`
Merci egalement
a` mes collegues,
et plus particulierement
les membres de ma salle : Tu, Duong,
Nhung, Kim Anh, Thoa, Huyen, ainsi qu’a` la communaute´ francophone de l’entreprise : Guillaume, Tho¨
ˆ a` leur accueil chaleureux et leur bonne humeur, ont
mas, Sophie, Guilhem, Andrew et Gaelle,
qui, grace
grandement facilite´ mon insertion dans l’entreprise.
´
Enfin, je remercie mes amis, mes colocataires et ma famille qui m’ont soutenu pendant cette annee
´ au Vietnam.
passee
´
Resum
e´
´
´
´ en temps qu’administrateur systeme
`
Ce memoire
est le resultat
de cinq mois de stage passes
et
´
´
´ concernent
reseau
au sein de l’agence d’architecture NKB Archi. Les travaux qui y sont present
es
´
´
l’amelioration
d’un reseau
existant a` l’aide de solutions issues du monde du logiciel libre.
´
´ dans ce document les principales modifications apportees
´ au systeme
`
Sont developp
ees
d’informa´
tion de l’agence, a` savoir : les etapes
de la migration du serveur de production de Windows 2003 Server
vers Debian Lenny, et la mise en place d’outils de collaboration au sein de l’entreprise.
´
´ information, communication, DNS, DHCP, intranet, proxy
´ : Libre, Linux, securit
Mots-cles
e,
Abstract
This report is the result of a five-month training period spent as an Information Technology Manager.
The work presented here concern the improvement of an existing network using solutions from the world
of free softwares.
In this document, the different stages of the network change, including the migration of the production server, from Windows 2003 Server to Linux Debian Lenny, and the implementation of collaboration
tools within the company, are addressed and developed.
´
Keywords : Free, Linux, security,
information, communication, DNS, DHCP, intranet, proxy
`
Table des matieres
1 Introduction
6
2 L’entreprise d’accueil
´
2.1 Presentation
de l’entreprise . . .
ˆ occupe´ au sein de l’agence
2.2 Role
2.2.1 Description de la mission
´
2.2.2 Calendrier Previsionnel
.
.
.
.
.
7
7
8
8
8
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
10
10
10
10
10
12
12
12
12
12
13
13
14
14
14
14
14
14
15
15
15
15
.
.
.
.
.
.
.
.
.
.
.
.
16
16
17
17
18
18
18
18
19
19
21
21
23
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
3 Description de l’existant, des besoins, et envisagement des solutions
3.1 Audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
´
3.1.1 Audit materiel
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
`
3.1.2 Audit systemes
. . . . . . . . . . . . . . . . . . . . . . . . . . .
´
3.1.3 Audit des services reseaux
. . . . . . . . . . . . . . . . . . . .
3.2 Exigences pour la nouvelle architecture . . . . . . . . . . . . . . . . .
3.3 Analyse et choix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.1 Topologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
`
3.3.2 Systemes
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.2.a Serveurs . . . . . . . . . . . . . . . . . . . . .
3.3.2.b Postes clients . . . . . . . . . . . . . . . . . . .
´
3.3.3 Services reseau
. . . . . . . . . . . . . . . . . . . . . . . . . .
3.3.3.a OpenLdap . . . . . . . . . . . . . . . . . . . .
3.3.3.b Dhcpd . . . . . . . . . . . . . . . . . . . . . . .
3.3.3.c Bind . . . . . . . . . . . . . . . . . . . . . . . .
3.3.3.d Netfilter/Iptables . . . . . . . . . . . . . . . . .
3.3.3.e Samba . . . . . . . . . . . . . . . . . . . . . .
3.3.3.f Squid . . . . . . . . . . . . . . . . . . . . . . .
3.3.3.g SSH . . . . . . . . . . . . . . . . . . . . . . . .
3.3.3.h Backup Manager . . . . . . . . . . . . . . . . .
3.3.3.i Openfire . . . . . . . . . . . . . . . . . . . . .
3.3.3.j Plone . . . . . . . . . . . . . . . . . . . . . . .
4 Migration du serveur
4.1 Installation de Debian Lenny . . . . .
4.2 Dhcpd . . . . . . . . . . . . . . . . . .
4.2.1 Fonctionnement . . . . . . . .
4.2.2 Installation . . . . . . . . . . .
4.2.3 Configuration . . . . . . . . . .
4.3 DNS . . . . . . . . . . . . . . . . . . .
4.3.1 Fonctionnement . . . . . . . .
4.3.2 Installation . . . . . . . . . . .
4.3.3 Configuration . . . . . . . . . .
4.4 Netfilter . . . . . . . . . . . . . . . . .
4.4.1 Fonctionnement . . . . . . . .
4.4.2 Configuration de la passerelle .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
4.5 Annuaire de centralisation . . . . . . . . . . . . .
4.5.1 Fonctionnement . . . . . . . . . . . . . .
4.5.2 Installation . . . . . . . . . . . . . . . . .
4.5.3 Configuration . . . . . . . . . . . . . . . .
4.6 Partage de ressources . . . . . . . . . . . . . . .
4.6.1 Fonctionnement . . . . . . . . . . . . . .
4.6.2 Installation . . . . . . . . . . . . . . . . .
4.6.3 Configuration . . . . . . . . . . . . . . . .
4.7 Serveur mandataire / Proxy . . . . . . . . . . . .
4.7.1 Fonctionnement . . . . . . . . . . . . . .
4.7.2 Installation . . . . . . . . . . . . . . . . .
4.7.3 Configuration . . . . . . . . . . . . . . . .
´
4.8 Sauvegarde des donnees
. . . . . . . . . . . . .
´
4.8.1 Strategie
de sauvegarde . . . . . . . . . .
4.8.2 Sauvegarde sur le serveur de production
4.8.3 Sauvegarde sur nkbbackup . . . . . . . .
´
´
4.9 Schema
recapitulatif
. . . . . . . . . . . . . . . .
5 Mise en place d’outils de communication
5.1 Messagerie interne . . . . . . . . . . .
5.1.1 Utilite´ . . . . . . . . . . . . . .
5.1.2 Le protocole Jabber . . . . . .
5.1.3 Le serveur Jabber OpenFire .
5.2 Plate-forme de travail collaboratif . . .
5.2.1 Utilite´ . . . . . . . . . . . . . .
5.2.2 Plone . . . . . . . . . . . . . .
´
5.2.3 Travail realis
e´ . . . . . . . . . .
6 Bilan du travail accompli
´ rencontrees
´
6.1 Difficultes
. . . . . . . .
´ techniques . . . .
6.1.1 Difficultes
´ . . . . . . .
6.1.2 Autres difficultes
6.2 Ma contribution au sein de l’agence
´
6.3 Ameliorations
possibles . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2008–2009
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
24
24
25
25
26
26
26
27
27
27
28
28
29
29
29
29
30
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
31
31
31
31
31
33
33
33
33
.
.
.
.
.
37
37
37
37
38
38
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
7 Conclusion
39
´ erences
´
Ref
40
A Annexe 1 : extrait de configuration du serveur DHCP
41
B Annexe 2 : extrait configuration DNS
43
`
C Annexe 3 : Regles
pare-feu Netfilter
45
D Annexe 4 : Fichier de configuration de Samba
47
Rapport de stage de Jules DAGNAUD
4
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
E Annexe 5 : Script d’ajout d’utilisateur Samba/LDAP
50
F Annexe 6 : Fichier de configuration de OpenLdap
51
G Annexe 7 : Fichier de configuration du proxy Squid
54
Rapport de stage de Jules DAGNAUD
5
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
1
2008–2009
Introduction
` avoir suivi ma deuxieme
`
´ de Master a` l’Institut de la Francophonie pour l’Informatique, j’ai
Apres
annee
´ e´ de prolonger mon experience
´
´
´
decid
a` l’etranger
en effectuant mon stage de fin d’etudes
en entreprise
au Vietnam. L’entreprise d’architecture NKB Archi m’en a donne´ la possibilite´ en m’accueillant en tant
qu’administrateur informatique.
´
Le Vietnam, a` l’image des entreprises qui y sont implantees,
est actuellement dans une phase de
´
´ es
´ se sont massivement equip
´
´ de l’outil informadeveloppement
et de modernisation. Aussi, les societ
ees
´
´
´
`
´
tique, veritable
moteur de developpement
economique
et social, ces dernieres
annees.
L’utilisation de tout logiciel est soumise a` l’acceptation d’un contrat d’utilisation, aussi appele´ licence.
´
´ ce qui satisfait gen
´ eralement
´
Pour la plupart des logiciels, dits ”proprietaires”,
seule l’utilisation est autorisee,
´
le client. Leurs equivalents
libres sont soumis a` des contrats plus permissifs. Ils permettent a` toute per`
´
sonne qui possede
une copie du logiciel non seulement de l’utiliser, mais aussi de l’etudier,
le modifier et
le redistribuer.
Il est important pour les utilisatrices que sont les entreprises de connaˆıtre objectivement l’offre logicielle existante. Or, la position dominante et les moyens marketing des grands acteurs en place biaisent
´ eficient.
´
`
l’information dont elles ben
C’est particulierement
vrai au Vietnam, ou` on peut ajouter d’autres raisons pour expliquer la faible utilisation des logiciels libres, notamment le fait que les logiciels commerciaux
´
et proprietaires
sont trop faciles a` trouver pour une faible somme.
´ par le
Cependant, les inspections au sein des entreprises se multiplient suite a` la campagne lancee
´
´ De plus, le ministre vietnamien
gouvernement vietnamien pour eliminer
l’utilisation des logiciels pirates.
´
´
de l’Information et des Communications, Le Doan Hop, a annonce un plan national prevoyant
le passage
vers des logiciels libres et Linux au sein des administrations nationales et locales d’ici 2010.
´
´ a` de decrire
´
´ a` NKB Archi, se donne pour ambition
Ce memoire,
au del
mes cinq mois de stage passes
´
´
´
de presenter
comment ameliorer
significativement le reseau
et la communication au sein d’une entreprise
´
´ de logiciels proprietaires,
´
equip
ee
en appliquant des solutions libres et gratuites.
` une presentation
´
´
´
´
Apres
de l’entreprise d’accueil, nous decrirons
la situation du reseau
a` mon arrivee
´
en analysant ses forces et ses faiblesses. Nous proposerons ensuite des solutions et ameliorations,
dont
nous aborderons la mise en place, avant de faire un bilan du travail accompli.
Rapport de stage de Jules DAGNAUD
6
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2
2.1
2008–2009
L’entreprise d’accueil
´
Presentation
de l’entreprise
` de M. Nicolas Berry, lance sa propre agence d’architecture
En janvier 1969, M. Jacques Berry, le pere
´ eral
´
a` Paris. Il est rejoint par son fils, en janvier 2003. En janvier 2005, Nicolas devient Directeur Gen
de
´
ˆ
´ NKB Archi Vietnam
l’agence qui se renomme alors NKB Archi France. En decembre
de la meme
annee,
Ltd est lance´ a` Hanoi.
´
´
´
Depuis sa creation,
l’entreprise n’a cesse´ de se developper,
tant du point de vue de ses differentes
´
´ qui depasse
´
realisations,
qu’au niveau de ses locaux et du nombre de ses employes
aujourd’hui la cin´
´
quantaine. Entre temps, NKB Archi Vietnam Limited a monte un bureau de representation a` Ho Chi Minh
´
´ dans l’urbanisme, et est sur le point de creer
´ Space by NKB,
City, a lance´ NKB Planning, filiale specialis
ee
a` Hong-Kong et au Vietnam, dans le but d’investir le marche´ du meuble.
ˆ
L’agence d’architecture NKB Archi se compose de deux poles
; le premier, NKB Archi France dont le
´
bureau est situe´ a` Paris, travaille sur une architecture a` echelle
locale, tout en participant ponctuellement
ˆ et le plus important, NKB Archi Vietnam Limia` des projets de plus grande envergure. Le second pole
´
´
ted, prend en charge des realisations
d’ensembles a` echelles
nationales ou internationales comme des
ˆ
´
´
complexes touristiques, des batiments
publics ou encore des residences
privees.
L’agence de Hanoi qui m’a employe´ durant ce stage est celle qui compte le plus grand nombre d’em´ Elle est implantee
´ au 159 Lo Duc, dans le quartier Hai Ba Trung de Hanoi, depuis plus d’un an.
ployes.
ˆ
´
Les locaux se divisent en deux batiments.
L’un abrite la reception
et les bureaux des architectes
´
´
`
´
conception et technique, l’autre est reserve a l’administration et aux bureaux des ingenieurs.
Mon poste
´ e´ installe´ dans la salle des architectes techniques, la plus proche de la salle des serveurs.
a et
ˆ hanoien emploie majoritairement des vietnamiens, bien que les postes de conception archiLe pole
´ par des occidentaux expatries.
´ Cette atmosphere
` multiculturelle
tecturale soient en grande partie occupes
` enrichissante au jour le jour. De plus, le contexte de travail est exclusivement anglophone.
est tres
´
´
Le champ d’intervention de l’agence s’etend
sur de nombreux types de realisations
qui peuvent avoir
ˆ
ˆ
fonction de logements, bureaux, commerces, hotels,
batiments
publics ou industriels, allant de l’architec´
´
ture d’interieur
jusqu’a` l’amenagement
urbain.
´ de l’agence de Hanoi
F IG . 1 – Les employes
Rapport de stage de Jules DAGNAUD
7
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2.2
2008–2009
ˆ occupe´ au sein de l’agence
Role
`
´
Le poste occupe´ pendant 5 mois fut celui d’administrateur systeme
et reseau
du parc informatique de
l’agence.
2.2.1
Description de la mission
´
´ consistait a` proposer et mettre en place des outils gratuits et libres, dans
La mission qui m’etait
confiee
´
´
l’objectif d’ameliorer le reseau interne de l’agence. Mon travail s’est articule´ autour de trois axes fortement
´ : l’etude
´
´
`
lies
du reseau
existant, la migration du systeme
d’exploitation des serveurs de production et la
mise en place d’outils de communication et de travail collaboratif.
ˆ de support informatique et d’assistance aux utilisaA` ces missions s’est ajoute´ naturellement un role
`
´
teurs (installation de logiciels, correction de problemes,
maintenance materielle).
´
ˆ
´
Enfin, j’avais egalement
comme tache
de former M. Nguyen Dang Kiem, pour qui le monde Linux etait
inconnu jusqu’alors, aux outils que je mettais en place.
2.2.2
´
Calendrier Previsionnel
ˆ
Tache
´
Audit du reseau
existant
Recherche et proposition des outils de remplacement / a` ajouter
´
Preparation
de la migration
Migration
´ a` l’utilisation du nouveau reseau
´
Formation des employes
Mise en place d’outils de collaboration et formation de l’administrateur en place
´
Periode
4 semaines
2 semaines
4 semaines
2 jours (week-end)
1 semaine
9 semaines
´
F IG . 2 – Calendrier Previsionnel
Rapport de stage de Jules DAGNAUD
8
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
F IG . 3 – Organigramme de l’entreprise
Rapport de stage de Jules DAGNAUD
9
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
3
3.1
3.1.1
2008–2009
Description de l’existant, des besoins, et envisagement des solutions
Audit
´
Audit materiel
´
Le reseau
est peuple´ d’une cinquantaine de machines : deux serveurs (que nous appellerons S1 et
´
´
´
S2), une quarantaine d’ordinateurs clients et une imprimante reseau.
Ces equipements
sont repartis
dans
ˆ
les neuf salles des deux batiments qui constituent les locaux de l’agence (la salle des serveurs, le bureau
de la direction, le bureau administratif, l’accueil, et les cinq salles de travail).
´
Nous avons a` faire a` un reseau
Ethernet classique, conc¸u selon une topologie hybride en bus et en
´
´ entre eux par une liaison (commutateur et cables)
ˆ
etoile.
Les deux serveurs sont relies
Gigabit Ethernet
ˆ
´ a` un commutateur 100BaseT. Tous les commutateurs
1000BaseT. Dans chaque salle, les hotes
sont relies
´ entre eux forment le Backbone du reseau.
´
relies
´
´
´ ont rev
´ el
´ e´ qu’aucun composant de liaison physique n’etait
´
De nombreux tests, avec du materiel
specialis
e,
´
defectueux.
´
`
Les caracteristiques
des machines du parc informatique sont assez homogenes
(processeurs Intel
´
double coeurs, 1Go de memoire
vive). En ce qui concerne les serveurs, le serveur S1 est performant (avec
´
2Go de memoire
vive et un processeur double coeur cadence´ a` 2,13GHz). Le serveur S2 en revanche
` limite´ avec seulement 512Mo de memoire
´
est tres
et un processeur cadence´ a` 1GHz.
3.1.2
`
Audit systemes
´
´ d’un environnement Windows :
Tous les postes sont equip
es
– Windows 2003 Server pour les deux serveurs,
– Windows XP pour tous les clients.
`
´
´
´
Les systemes
sont assez instables (redemarrages
frequemment
necessaires),
notamment le serveur
ˆ
` lent, plante reguli
´
`
´
´
S2, qui, en plus d’etre
tres
erement
a` la suite de depassement
memoire.
Beaucoup de
´
machines sont egalement
porteuses de virus (dont les deux serveurs).
3.1.3
´
Audit des services reseaux
´
´ sont repartis
´
Les services reseaux
proposes
sur les deux serveurs. Le premier serveur, S1, a comme
ˆ celui de serveur de fichier, tandis que le serveur S2 s’occupe de tous les autres services :
unique role
´ dynamiquement aux hotes
ˆ
– serveur d’adressage DHCP : une plage de cent adresses est distribuee
´
´
´
du reseau.
Les adresses des deux serveurs sont reserv
ees.
´ un nom, cependant les noms sont incoherents,
´
– serveur de noms : a` chaque adresse IP est associee
certaines machines portant le nom de leur utilisateur, et d’autres un nom sans signification parti`
culiere.
´ e´ a` Windows 2003 Server est tres
` basique. Il est utilise´ ici pour proteger
´
– pare-feu : le pare-feu integr
´
` Internet (tous les
le reseau
(ouverture de seulement quelques ports utiles) et pour filtrer les acces
´ n’ont pas le droit d’utiliser Internet) en fonction des adresses IP.
employes
– passerelle vers internet.
Rapport de stage de Jules DAGNAUD
10
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
´ sur le premier serveur. Une sauvegarde periodique
´
´
– sauvegarde des fichiers partages
est effectuee
tous les jours.
´
F IG . 4 – Reseau
de l’entreprise
Rapport de stage de Jules DAGNAUD
11
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
3.2
2008–2009
Exigences pour la nouvelle architecture
` exigence etait
´
´
`
La premiere
de nature economique
: le prix des systemes
d’exploitation du parc devait
ˆ
etre
le plus faible possible.
´
`
´
De plus, une reduction
significative des problemes
d’instabilite´ des serveurs et de lenteur du reseau
´
´
etait
necessaire.
´
ˆ
´ edemment
´
Le nouveau reseau
devait proposer les memes
services que celui en place prec
ainsi que
´ :
de nouvelles fonctionnalites
– adressage automatique,
– service de nommage,
ˆ e´ de ressources,
– partage control
– identification des utilisateurs et notion de groupes d’utilisateurs,
ˆ e´ de l’Internet,
– partage control
´ interne,
– service de messagerie instantanee
– plate-forme collaborative de travail,
ˆ du serveur a` distance,
– controle
´
` des donnees.
´
– sauvegarde automatique et reguli
ere
3.3
Analyse et choix
3.3.1
Topologie
´
´ el
´ e´ aucune defaillance,
´
Les tests des composants physiques du reseau
n’ayant rev
et en prenant
´ e´ decid
´ e´ qu’aucune modification du reseau
´
´
compte de l’agencement des locaux, il a et
ne serait effectuee
au niveau physique. La seule modification importante sera donc le changement total de la configuration
des serveurs.
3.3.2
3.3.2.a
`
Systemes
Serveurs
`
´ se sont rev
´ el
´ es
´ etre
ˆ
´
´
Les problemes
d’instabilites
la consequence
d’un manque flagrant de memoire
´
vive du serveur S2, assurant tous les services reseau
(a` l’exception du service de partage de fichiers) et
´ sur le serveur S1, couple´ a` un systeme
`
´ e´ (une simple analyse
la sauvegarde des fichiers partages
verol
´ el
´ e´ la presence
´
`
´ sur
antivirus avec le logiciel gratuit Avast ! a rev
de milliers de fichiers systemes
infectes
les deux serveurs).
´ e´ fut
Le choix oper
ˆ donc d’utiliser le serveur S1, beaucoup plus performant, comme unique fournisseur
`
ˆ
de services. Le serveur S2, totalement obsolete,
sera quant a` lui charge´ d’une seule tache
: le stockage
´ partagees.
´
des sauvegardes des donnees
´
´
`
Pour repondre
aux exigences economiques,
le choix, pour les serveurs, d’un systeme
d’exploitation
´
gratuit et libre s’imposait. Il etait
donc naturel de s’orienter vers une distribution Linux. Ayant utilise´ principalement Mandriva et Debian, mon choix s’est finalement porte´ sur Debian, beaucoup plus stable et
´
evolutive
que Mandriva, bien que demandant plus de connaissances pour son installation, son adminis´
´
tration, et sa maintenance. Un avantage non negligeable
de cette distribution est egalement
sa gestion
´ ainsi que le nombre d’outils disponibles. Tout le
de l’installation de paquets, transparente et structuree,
´
`
´ Enfin,
contraire de Mandriva qui, dans sa version gratuite, presente
de nombreux problemes
de stabilite.
Rapport de stage de Jules DAGNAUD
12
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
´
Debian respecte totalement la philosophie du monde du logiciel libre, comme le temoigne
le Contrat So´ aux principes du logiciel libre a et
´ e´ adoptee
´ par la communaute´ du
cial Debian dont la partie consacree
´
logiciel libre comme base pour la definition
de l’informatique libre. De plus, il existe une forte communaute´
d’utilisateurs autour de cette distribution, il est donc assez aise´ de trouver de la documentation fiable et
`
` version stable de Debian, Debian
abondante. Le systeme
installe´ sur les serveurs sera donc la derniere
Lenny 5.0 .
´
`
´
Concernant les virus, la legende
selon laquelle les systemes
d’exploitation Linux y sont invulnerables
´ Linux possede
`
´
ˆ
´ par des programmes malest erronee.
des failles de securit
e´ qui peuvent etre
exploitees
veillants. Linux est donc sensible aux virus, tout comme Windows, mais dans une moindre mesure. En
´
effet, on recense seulement une trentaine de virus existant sous Linux, ce qui est negligeable
en compaˆ
raison des millions existant sous Windows. Ceci peut etre
explique´ par plusieurs raisons :
– les utilisateurs de Linux n’ont pas les droits administrateur, et ne peuvent donc pas modifier les
`
fichiers systeme.
Il est ainsi difficile pour un virus d’infecter la machine,
´
´
´
– Linux oblige a` declarer
si un fichier est executable
ou non. Ce n’est pas l’extension qui determine
´
´
si un fichier est executable.
Il est donc difficile d’executer
un fichier sans le vouloir, en pensant que
´
c’etait
un fichier d’un autre type,
`
– Linux est open-source, c’est-a-dire
que tout le monde peut examiner son code source, y compris
´
´ Les failles ont donc plus de chances d’etre
ˆ
´
´
des experts en securit
e.
detect
ees,
´ a` partir de dep
´ ots,
ˆ dont le contenu est control
ˆ e,
´
– la plupart des logiciels sont installes
´
– enfin, il existe de nombreuses distributions differentes,
ce qui limite la propagation des virus.
3.3.2.b
Postes clients
´ d’utiliser Linux pour les postes clients a tres
` vite et
´ e´ abandonnee
´ a` court terme. En effet, l’archiL’idee
´
tecture utilise de nombreux outils informatiques specifiques
(logiciels de dessin technique, de retouche
´
photo, conception d’image 3D, design. . .). Si des equivalents
a` ces logiciels existent bel est bien sous Liˆ
´
`
´
´
nux, ces outils sont tout de meme
differents
et requierent
une experience
utilisateur considerable.
Aussi,
´
l’adaptation ne semblait pas possible dans l’immediat.
ˆ
´ efique
´
´
Le projet, extremement
ben
en termes d’economie
et d’image, de passer a` un parc informatique
`
´ e´ abandonne.
´
entierement
gratuit et libre, n’a cependant pas et
3.3.3
´
Services reseau
`
`
´
´ ots
ˆ
Debian Lenny est un systeme
particulierement
oriente´ reseau.
On trouve facilement sur les dep
´
`
´
officiels les paquets necessaires a la mise en place d’un serveur de production complet. Les outils ont ete´
`
choisis selon les criteres
suivants :
– gratuite´ et respect de la philosophie des logiciels libres,
– conformite´ aux standards,
´
´
– securit
e,
– quantite´ et qualite´ de la documentation disponible.
Les outils retenus sont les suivants :
Rapport de stage de Jules DAGNAUD
13
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
3.3.3.a
2008–2009
OpenLdap
´
Devant le besoin d’identifier/authentifier les utilisateurs sur le reseau,
et devant le grand nombre de
services qui seront pourvus, la mise en place d’un annuaire de centralisation des informations utilisateurs
` est le protocole LDAP. On va pouvoir grace
ˆ
´
s’imposait. Le standard en la matiere
a` cet annuaire reunir
´
les informations (noms d’utilisateurs, mots de passe, noms, prenoms,
mail. . .) de chaque utilisateur du
´
ˆ
´
´ partagees,
´
reseau.
Ainsi, un employe´ aura les meme
identifiants pour acceder
a` Internet, aux donnees
a`
´
la plate-forme collaborative ou a` la messagerie interne. OpenLdap est l’implemention
libre de ce protocole
´
la plus renommee.
3.3.3.b
Dhcpd
´ erence
´
C’est le serveur DHCP propose´ par l’ISC1 . C’est une implantation ref
de ce protocole, la plus
´ pour des reseaux
´
`
utilisee
locaux, et possede
donc une riche documentation.
3.3.3.c
Bind
´
Bind est le serveur DNS le plus utilise´ sur Internet, et est devenu un standard. Il est egalement
main´
tenu par l’ISC. De plus, Bind est peu gourmand, aussi bien en taille sur le disque qu’en utilisation memoire
et processeur.
3.3.3.d
Netfilter/Iptables
´ e´ au noyau Linux depuis sa version 2.4. Il fonctionne en interceptant et
Netfilter est un parefeu integr
´
manipulant des paquets reseau.
Netfilter est configurable avec la commande iptables. Il est possible de
´
realiser
avec cet outil des passerelles et pare-feux aussi performants que ce que l’on peut obtenir avec
´
´
´
du materiel
specialis
e.
3.3.3.e
Samba
C’est une implantation du protocole SMB de Microsoft permettant de partager de ressource sur un
´
´
ˆ
reseau
Windows. Samba emule
un domaine SMB sur un serveur Linux. Ainsi grace
a` Samba, on va
pouvoir partager des ressources entre notre serveur Linux et nos clients Windows. On peut identifier les
utilisateurs avec LDAP.
3.3.3.f
Squid
Un serveur mandataire (proxy) capable d’utiliser les protocoles FTP, HTTP, et HTTPS. C’est un logiciel
´ les plus frequemment
´
libre distribue´ selon les termes de la licence GNU GPL. Squid garde les donnees
´ dans un cache, ameliorant
´
´
utilisees
ainsi les performances. Il permet egalement
d’identifier les utilisateurs
´ HTTP. Squid est compatible avec Ldap.
et de filtrer les acces
1
Internet Systems Consortium
Rapport de stage de Jules DAGNAUD
14
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
3.3.3.g
2008–2009
SSH
´
´ SSH est
SSH2 est a` la fois un programme informatique et un protocole de communication securis
e.
´ erence
´
` distant securis
´
pour l’instant la ref
de l’acces
e´ sous linux.
3.3.3.h
Backup Manager
Un utilitaire de sauvegarde de fichiers locaux sous forme d’archives. Backup Manager est une solution
´
de sauvegarde simple, automatique et sure.
Son parametrage
est fourni et intuitif.
ˆ
3.3.3.i
Openfire
´
´
Openfire est un serveur Jabber (protocole de messagerie instantanee),
ecrit
en Java, sous licence
`
GNU GPL. Il est stable, possede
une interface d’administration intuitive et peut s’appuyer sur une impor´ Enfin, Openfire possede
` de nombreux plugins permettant de personnaliser la messatante communaute.
gerie, et notamment un permettant l’authentification des utilisateurs via LDAP.
3.3.3.j
Plone
`
Un systeme
de gestion de contenu Web libre publie´ selon les termes de la GNU GPL. Il est construit
´
´ e´ comme etant
´
au-dessus du serveur d’applications Zope, ecrit
en langage Python. Plone est consider
´
`
´
l’un des meilleurs CMS open-source existants, et est reguli
erement
recompens
e´ au Open Source CMS
ˆ
`
Awards. Plone est extremement
flsystemes
exible et puissant, et il existe une grande quantite´ de modules
disponibles pour le personnaliser.
2
Secure SHell
Rapport de stage de Jules DAGNAUD
15
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
4
2008–2009
Migration du serveur
`
´
´
´
Sous peine de paralyser l’agence toute entiere,
l’echec
de la migration etait
intolerable.
N’ayant que
` peu d’experience
´
´
´
´
tres
dans la creation
et l’administration d’un reseau
mixte Linux/Windows au debut
de
ma mission, j’ai donc configure´ le serveur dans un environnement de test (un serveur et un poste client
´
´
´
deconnect
e´ du reseau
fonctionnel), avant d’appliquer la configuration adequate
obtenue sur le serveur de
´
production. Cette methode de travail m’a permis de prendre le temps de configurer la plupart des services
´
´
reseaux,
sans risque, et d’effectuer la migration sans perturbation et sans immobilisation du reseau
(la
´ e´ effectuee
´ en un week end).
configuration du serveur de production a et
4.1
Installation de Debian Lenny
´
` facilement. J’ai choisi de faire cette installaDepuis les plus recentes
versions, Debian s’installe tres
ˆ
´ echarg
´
´
tion par Internet, en utilisant seulement un CD d’installation : la plupart des paquets va etre
tel
ee
´ ots
ˆ (dans un souci de rapidite,
´ j’ai utilise´ des miroirs situes
´ a` Hong-Kong).
depuis les dep
´
´
Le seul point delicat
consiste a` choisir comment partitionner l’espace disque. J’ai choisi de separer
sur
´
3 partitions differentes
:
– /,
– /home,
– /var et /usr.
´
´
`
`
´ utiliCette separation
permet de reinstaller
le systeme
en cas de probleme
sans perdre les donnees
sateurs dans /home, et d’allouer la place suffisante a` /var et /usr, dossiers dans lesquels beaucoup de
´ relatives aux applications sont ecrites.
´
donnees
` difficulte´ concernait le format de fichier des disques de stockage de donnees.
´
Enfin, la derniere
En
`
´ e´ reformates
´ au format ext3 lors de l’installation, les 3 disques de
effet, si les disques systeme
ont et
´
stockage etaient
toujours au format cher a` Windows : NTFS. Heureusement, il existe un pilote NTFS libre
` en lecture et en ecriture
´
pour Linux, ntfs-3g, qui permet l’acces
aux disques NTFS.
´
´
Pour resumer
la situation des disques, voici le resultat
de la commande df -h :
Filesystem
/dev/sda1
/dev/sda6
/dev/sdb1
/dev/sdc1
/dev/sdd1
/dev/sda2
/dev/sda2
Size
6.5G
31G
373G
932G
932G
145G
145G
Used Avail Use% Mounted on
2.3G 3.9G 37% /
216M
29G
1% /home
335G
39G 90% /media/DiskE
598G 335G 65% /media/DiskF
371G 562G 40% /media/DiskG
5.7G 132G
5% /var
5.7G 132G
5% /usr
`
Maintenant que l’on dispose d’un systeme
fonctionnel, nous allons pouvoir mettre en place les services
´
reseau
sur notre serveur.
Rapport de stage de Jules DAGNAUD
16
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
4.2
4.2.1
2008–2009
Dhcpd
Fonctionnement
´
´
Lorsqu’un client, equip
e´ de TCP/IP, tente de se connecter a` un reseau,
il charge une adresse IP vide
´
et diffuse un paquet DHCPDISCOVER sur le reseau.
Le paquet DHCPDISCOVER contient le nom du
´
` adresse TCP/IP
poste de travail, l’adresse MAC de l’interface reseau
et peut aussi contenir la derniere
que le client a obtenu du serveur. Avec cette information, le serveur est capable de donner au client la
ˆ
` requete.
ˆ
meme
adresse que celle qu’il avait rec¸u lors de sa derniere
´
´
Lorsqu’un serveur DHCP actif rec¸oit le paquet DHCPDISCOVER, l’etat
de selection
commence. Le
´
´
´
serveur reserve
une adresse de sa liste et diffuse une reponse
au poste de travail. La reponse,
ap´
pelee paquet DHCPOFFER, contient une proposition d’adresse TCP/IP pour le poste de travail ainsi que
´
l’adresse MAC du poste de travail, les informations de masque de sous-reseau,
la longueur du bail et
l’adresse TCP/IP du serveur DHCP faisant l’offre.
´
ˆ commence. Le client gen
´ ere
`
Une fois que le client a rec¸u un paquet DHCPOFFER, l’etat
de requete
un paquet DHCPREQUEST qui accepte l’adresse TCP/IP offerte par le serveur qui a issu le paquet
DHCPOFFER. Le paquet DHCPREQUEST inclut l’adresse TCP/IP du serveur qui a fourni l’adresse client.
´
ˆ le client effectue une diffusion de masse du paquet DHCPREQUEST.
Pour conclure l’etat
de requete,
´
Tous les serveurs DHCP sur le reseau
rec¸oivent le paquet et comparent ses informations d’adresses serveurs avec leur propre adresse. Si l’adresse du serveur ne correspond pas avec celle dans le paquet,
` l’adresse qu’il avait reserv
´
´ pour le client dans son propre paquet DHCPOFFER.
alors le serveur libere
ee
´
Si un serveur trouve sa propre adresse TCP/IP dans le paquet DHCPREQUEST, il repond
au client avec
un paquet DHCPACK. Ce paquet contient le bail pour le client.
Lorsque le client rec¸oit le paquet DHCPACK, la phase de liaison commence en reliant l’adresse as´ au protocole TCP/IP tournant sur sa carte reseau
´
´
signee
et finissant alors le demarrage.
A ce point, le
´
client peut communiquer sur le reseau
en utilisant TCP/IP. Le client garde l’adresse TCP/IP qui lui est
´ pour la periode
´
assignee
de bail.
´ il entre en phase de renouvellement. Le
Lorsque le client atteint 50% de son temps de bail assigne,
client envoie un paquet DHCPREQUEST directement au serveur qui lui a donne´ son adresse TCP/IP. Le
serveur DHCP renouvelle le bail et renvoie un paquet DHCPACK, qui contient le nouveau bail et toute
information de configuration qui pourrait avoir changer depuis le bail initial.
Si le client ne peut communiquer avec le serveur qui a accorde´ le bail, il affichera une erreur mais
continuera a` tourner normalement. Lorsque 87.5% du temps de bail du client expire, le client commence
a` paniquer et entre dans une phase de reliaison. Lors de la phase de reliaison, le client commence a`
´
´
diffuser des paquets DHCPREQUEST sur le reseau
en direction de tout serveur DHCP qui y repondra.
´
Le serveur DHCP courant peut repondre
avec un paquet DHCPACK qui permet au client de continuer a`
´ e´ assignee
´ au depart.
´
utiliser l’adresse qui lui avait et
Ou il peut envoyer un paquet DHCPNAK, qui force
´
le client a` reinitialiser
TCP/IP et a` obtenir une nouvelle adresse TCP/IP et un nouveau bail. S’il accepte le
paquet DHCPNAK, le client recommence le processus complet a` la phase d’initialisation.
Rapport de stage de Jules DAGNAUD
17
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
F IG . 5 – Le protocole DHCP
4.2.2
Installation
La version 3 du serveur Dhcpd est disponible dans le paquet dhcp3-server. On l’installe donc avec
aptitude, le gestionnaire de paquets de Debian :
apt-get install dhcp3-server
´
On dispose desormais
d’un serveur DHCP sur la machine. Il faut maintenant le configurer.
4.2.3
Configuration
´
Notre reseau
comporte une cinquantaine d’ordinateurs. On peut donc utiliser une adresse de sous´
ˆ
reseau
de classe C : 192.168.1.0 qui permet d’adresser 254 hotes.
ˆ
Pour assigner les adresses de fac¸on logique, nous allons adresser les ordinateurs d’une meme
salle
ˆ
dans la meme
dizaine (par exemple les ordinateurs de la salle 1 auront tous une adresse IP comprise
´
entre 192.168.1.10 et 192.168.1.19). Pour cela, on peut effectuer des reservations
d’adresses : on va,
´ limiter la possibilite´ d’octroi de cette adresse a` un client possedant
´
pour une adresse donnee,
une adresse
´ Si cette solution est fastidieuse, elle est neanmoins
´
´
´
physique donnee.
possible a` l’echelle
de notre reseau
´
´
` barriere
` de securit
´
de taille moyenne. Cette methode
permet egalement
de dresser une premiere
e´ sur le
´
reseau
: le filtrage par adresse MAC.
´
La configuration s’effectue par l’edition
du fichier /etc/dhcp3/dhcpd.conf (disponible en annexe).
´ il faut relancer le serveur pour que les modifications soient prises
Une fois la configuration effectuee,
´
en consideration
:
/etc/init.d/dhcp3-server stop
/etc/init.d/dhcp3-server start
4.3
4.3.1
DNS
Fonctionnement
´
´ par des adresses IP. Neanmoins,
´
Dans le monde de l’Internet, les machines du reseau
sont identifiees
` agreables
´
ces adresses ne sont pas tres
a` manipuler. C’est pourquoi on utilise les noms. DNS permet la
Rapport de stage de Jules DAGNAUD
18
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
´
ˆ
resolution
des noms de domaines, ce qui consiste a` assurer la conversion entre les noms d’hotes
et les
adresses IP.
Aucun serveur ne connaˆıt toutes les correspondances entre noms et adresses IP sur Internet. Si un
serveur ne connaˆıt pas une correspondance, il interroge un autre serveur jusqu’a` atteindre le serveur
´
´ ee.
´
detenant
l’information desir
Ainsi, il existe 3 types de serveurs DNS :
ˆ
´
– les serveurs de noms locaux a` qui s’adresseront les requetes
locales (c’est ce qui nous interesse
ici),
´ savoir comment approcher de la reponse,
´
– les serveurs de noms racine, censes
´ connaissant les correspondance officielles.
– les serveurs de noms de source autorisee,
´
´
Dans notre situation, nous avions besoin d’un serveur DNS local recursif
pour effectuer la resolution
´
´
´
des noms des machines du reseau
interne. Pour les machines exterieures
au reseau
local, le serveur
ˆ a` un serveur racine, qui se procurera l’adresse aupres
` d’un serveur de source
DNS envoie une requete
´ et la fera parvenir a` notre serveur local.
autorisee
4.3.2
Installation
` version du serveur de noms recursif
´
Nous allons installer le paquet bind9 qui contient la derniere
Bind
pour Debian Lenny.
apt-get install bind9
´
Notre installation de bind9 a produit une configuration par defaut,
minimaliste, qui permet au serveur
´
de fonctionner en mode recursif.
´
Tout se trouve dans le repertoire
/etc/bind/ .
4.3.3
Configuration
´
ˆ
Notre but est de construire un serveur de noms local, qui sera capable de resoudre
des noms d’hotes
´
´
sur le reseau
interne a` l’entreprise, mais egalement
sur Internet.
´
Les informations contenues dans le fichier db.root permettent a` notre serveur de resoudre
tous les
ˆ
noms d’hotes
sur Internet. En effet, ce fichier contient toutes les informations sur les 13 serveurs de noms
racines.
´ une zone pour l’Intranet de l’entreprise. Ceci passe par la creation
´
Nous devons donc maintenant creer
´
´
et l’edition
des fichiers db.nkb.com et db.192.168.1 (pour la zone de resolution
inverse). Ces fichiers sont
disponibles en annexe.
Comme pour notre serveur DHCP, il faut relancer BIND :
/etc/init.d/bind9 stop
/etc/init.d/bind9 start
ˆ
´
On peut maintenant identifier les hotes
de notre reseau
par des noms (le nom d’une machine est le
nom de l’employe´ l’utilisant).
Rapport de stage de Jules DAGNAUD
19
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
´
´
` la configuration des serveurs DHCP et DNS. Par securit
´
La figure 6 montre l’etat
du reseau
apres
e´
(notre machine ne dispose pas encore de pare-feu), le serveur n’est pas connecte´ au modem et n’endosse
ˆ de passerelle pour l’instant.
donc pas le role
´
L’installation d’un parefeu et le partage de la connexion Internet est la prochaine etape.
F IG . 6 – Nouvel adressage et nouveau nommage avec Dhcp et Bind9
Rapport de stage de Jules DAGNAUD
20
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
´
F IG . 7 – Notre serveur DNS recursif
4.4
4.4.1
Netfilter
Fonctionnement
´
´
Une fois que le reseau
local dispose d’un serveur de noms, il faut s’interesser
au partage de la
ˆ
ˆ e,
´ et le
connexion Internet pour tous les ordinateurs du parc. Cependant, ce partage doit etre
control
´
ˆ
´ e´ de l’exterieur.
´
´
reseau
local doit etre
proteg
Netfilter, le pare-feu de Linux, permet de le realiser.
´
´ de 5 points d’accrochage de paquets dans la pile IP, sur lesquels
Netfilter se presente
comme une serie
des modules de traitement vont se greffer. Ces points sont :
– NF IP PRE ROUTING
– NF IP LOCAL IN
– NF IP FORWARD
– NF IP POSTROUTING
– NF IP LOCAL OUT
´
On peut representer
le trajet des paquets dans la pile IP comme sur la figure 8.
ˆ
A travers ces cinq points d’insertion, Netfilter va etre
capable :
– d’effectuer des filtrages de paquets, principalement pour assurer des fonctions de Firewall.
´
– d’effectuer des operations
de NAT3
´
´
– d’effectuer des operations
de marquage des paquets, pour leur appliquer un traitement special.
3
`
´
Network Address Translation.Ces fonctions sont particulierement
utiles lorsque l’on veut faire communiquer un reseau
prive´ avec Internet.
Rapport de stage de Jules DAGNAUD
21
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
F IG . 8 – Trajet des paquets dans la pile IP
´
Pour effectuer ces operations,
Netfilter dispose d’une commande a` tout faire avec iptables. Cette
´
`
commande va permettre d’ecrire
des regles
de filtrage dans les 3 trois tables de Netfilter, correspondant
aux 3 fonctions ci-dessus.
F IG . 9 – Les 3 tables de Netfilter et leurs chaines
`
La table F ILT ER va contenir toutes les regles
qui permettront de filtrer les paquets. Cette table
contient trois chaˆınes :
´
ˆ
– INPUT : cette chaˆıne decidera
du sort des paquets entrant localement sur l’hote,
´
ˆ local qui seront filtres
´ ici,
– OUTPUT : les paquets emis
par l’hote
ˆ suivant les routes implantees.
´
– FORWARD : filtrage des paquets qui traversent l’hote
´
La table N AT permet d’effectuer toutes les translations d’adresses necessaires
:
– PREROUTING : permet de faire de la translation d’adresse de destination,
– POSTROUTING : elle permet de faire de la translation d’adresse de la source,
´ er
´ es
´ par la passerelle
– OUTPUT : Celle-ci va permettre de modifier la destination de paquets gen
ˆ
elle-meme.
´ er
´ es
´
La table M AN GLE permet le marquage des paquets entrants (chaˆıne PREROUTING) et gen
localement (chaˆıne OUTPUT).
Rapport de stage de Jules DAGNAUD
22
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
4.4.2
2008–2009
Configuration de la passerelle
Pour commencer, il faut tout fermer au niveau de la passerelle dans la table F ILT ER.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
`
On peut tout ouvrir au niveau des tables N AT et M AN GLE, cela ne pose pas de probleme
puisque
tout est bloque´ au niveau F ILT ER.
ˆ
´
Cette manipulation permet d’etre
sur
de Netfilter.
ˆ de l’etat
´
Maintenant, nous considerons
que notre machine est sure,
et que les processus locaux peuvent comˆ
muniquer entre eux :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
` avoir “nettoye”
´ tous les ordinateurs du reseau
´
´
Apres
local, nous pouvons considerer
que celui-ci est
´
sur
:
ˆ egalement
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
´
´
A` ce stade, tous les ordinateurs du reseau
local peuvent communiquer avec le serveur, mais le reseau
´
est totalement isole´ du monde exterieur.
Il faut faire une translation d’adresse pour tout ce qui traverse la passerelle :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Il faut maintenant accorder des autorisations de passage sur F ORW ARD. Nous allons accepter
toutes les connexions qui sortent du LAN vers Internet, a` l’exception des connexions HTTP (nous voulons
´ au Web pour certains utilisateurs, et utiliserons un Proxy Squid pour cela) :
filtrer l’acces
iptables -A FORWARD -p tcp --dport ! 80 -i eth1 -o eth0 -m state
--state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport ! 80 -i eth0 -o eth1 -m state
--state ESTABLISHED,RELATED -j ACCEPT
´ a` etablies
´
´
´
Aussi, Seules les connexions dej
ou en relation avec des connexions etablies
sont acceptees
venant d’Internet vers le LAN.
iptables -A FORWARD -p tcp --dport ! 80 -i eth0 -o eth1 -m state
--state ESTABLISHED,RELATED -j ACCEPT
´
´
Desormais,
notre reseau
local pourra se connecter sur tout serveur Internet (hors HTTP), mais aucune
ˆ
´ depuis le Net vers notre installation.
nouvelle connexion ne pourra etre
cre´ ee
`
`
´
Enfin, il faut bien penser a` rajouter les regles
le DNS. On rajoutera ensuite les regles
necessaires
au
` SSH par Internet, ainsi qu’un acces
` externe a` la future
fonctionnement du Proxy, puis permettant un acces
´
´
messagerie
instantannee.
Vous trouverez en annexe, le script Bash complet de configuration de la passerelle.
Rapport de stage de Jules DAGNAUD
23
`
´
Master Systemes
Informatiques et Reseaux
– UCBL – IFI
2008–2009
F IG . 10 – Fonctionnement du Firewall
4.5
Annuaire de centralisation
´
´
NKB Archi souhaitait pouvoir identifier et authentifier les utilisateurs du reseau,
dans le but de creer
´ de l’intranet a` chaque utilisateur. Un utilisateur X n’aura pas les memes
ˆ
une vision personnalisee
droits
qu’un utilisateur Y , que cela soit au niveau du partage de ressources (certain fichiers sont accessibles,
d’autres non), ou au niveau de la navigation Web (X, par exemple, n’a pas l’autorisation de naviguer sur
` illimite).
´
internet, alors que Y dispose d’un acces
Aussi, la mise en place d’un annuaire LDAP4 permettait de centraliser l’authentification des utilisateurs
pour plusieurs services (connexion au serveur de fichiers, connexion au Proxy, connexion a` la messagerie
´ et a` la plate-forme de travail. . .).
instantanee
De plus, la nouvelle architecture devait introduire la notion de groupes d’utilisateurs : les utilisateurs
ˆ
d’un meme
groupe ont des droits en commun, sachant qu’un utilisateur peut appartenir a` plusieurs
groupes.
Tout ceci est possible avec les annuaires LDAP, et l’implantation que nous allons utiliser, OpenLdap.
4.5.1
Fonctionnement
´
`
´
LDAP est un protocole standard permettant de gerer
des annuaires, c’est-a-dire
d’acceder
a` des bases
´
´
d’informations sur les utilisateurs d’un reseau
par l’intermediaire
de protocoles TCP/IP. ssha Ce protocole
´
´
` aux donnees
´
` dont les
definit
la methode
d’acces
sur le serveur au niveau du client, et non la maniere
´
informations sont stockees.
´
´
LDAP est uniquement prevu
pour gerer
l’interfac¸age avec les annuaires. Plus exactement, il s’agit
´
´
´
d’une norme definissant
la fac¸on suivant laquelle les informations sont echang
ees
entre le client et le
` dont les donnees
´ sont represent
´
´
serveur LDAP ainsi que la maniere
ees.
Ainsi ce protocole se conforme
`
a` quatre modeles
de base :
` d’information, definissant
´
´ dans l’annuaire,
– un modele
le type d’information stockee
` de nommage, definissant
´
´
– un modele
la fac¸on de laquelle les informations sont organisees
dans
´
l’annuaire et leur designation,
4
Lightweight Directory Access Protocol
Rapport de stage de Jules DAGNAUD
24
